サイバー攻撃の脅威を防ぐためには、企業のサーバーやネットワーク、Webアプリケーションなどに脆弱性がないか、定期的な診断が必要です。脆弱性を放置していると致命的な被害につながる可能性があり、攻撃を受ける前に自ら脆弱性を見つけて適切な措置を講じることが求められます。

この記事では、脆弱性診断の基礎知識や脆弱性を放置した場合のリスクを踏まえ、脆弱性診断の種類と方法、具体的な流れを解説します。

「脆弱性診断」とは、OS（オペレーションシステム）やミドルウエア、Webアプリケーション、ネットワーク機器などの企業内システムの構成要素に「脆弱性」がないか診断することです。「セキュリティー診断」ともいい、サイバー攻撃のリスクを低減させる目的があります。ここでは、脆弱性の意味、脆弱性診断の必要性、ペネトレーションテストとの違いについて解説します。

脆弱性の意味

脆弱性（ぜいじゃくせい／vulnerability）とは、OSや各種ソフトウエア、ネットワークにおいて、主にプログラミングの不具合を突いたサイバーセキュリティー上の欠陥のことです。「脆弱」の言葉が意味するとおり「システムの脆くて弱い部分」であり、悪意を持った攻撃者に狙われる要因となります。

市販のOSやソフトウエアで脆弱性が見つかった場合、ベンダーから配布されるセキュリティーパッチ（修正プログラム）を適用して改善を図るのが一般的です。新たな脅威は常に出現するため、企業で使用しているシステムやネットワークには継続的な脆弱性対策が求められます。

脆弱性診断の必要性

脆弱性を悪用したサイバー攻撃を防ぐには、脆弱性を定期的に診断して対策を実施する必要があります。どのようなシステムにも未知の脆弱性が存在するため、それを早期に発見して迅速かつ的確に対応することが重要です。

診断後に、脆弱性の種類や危険性を「共通脆弱性評価システム（CVSS）」で評価し、適切な対策を検討します。共通脆弱性評価システムは、ソフトウエアなどにおける脆弱性の深刻度を0.0～10.0のスコアで評価する国際的な指標です。このスコアリングにより脆弱性の深刻度と対処の優先順位が一目でわかり、情報セキュリティー対策の効率化とコスト削減につながります。

ペネトレーションテストとの違い

ペネトレーションテストでは、攻撃者視点でメールの添付ファイルやURLクリックといった多様なサイバー攻撃手法によって侵入を試み、セキュリティーレベルを調査・評価します。

脆弱性診断はシステムの脆弱性を網羅的に把握できる一方で、侵入手法をすべて検出できるわけではありません。脆弱性診断だけではカバーできない攻撃者の様々な侵入経路を検証する目的で、ペネトレーションテストが実施されます。

脆弱性を放置した場合に、次の3つのリスクが考えられます。

• 悪意のある攻撃を受けやすくなる
• マルウェア感染の危険性が高まる
• 犯罪行為を助長するおそれがある

以下、それぞれ解説します。

悪意のある攻撃を受けやすくなる

システムの脆弱性を家屋に例えると、玄関や窓の鍵が開いた状態で放置することに似ています。また、きちんと鍵がかかっていても、ピッキングによって侵入できてしまうケースもあります。
防犯装置が有効に機能していないと、悪意のある第三者からの侵入や攻撃を許してしまうのは、企業のシステムも同様です。具体的には、ウェブサイトの改ざんや不正アクセス、情報漏洩といった被害が発生するリスクがあります。

マルウェア感染の危険性が高まる

マルウェアとは、コンピューターウイルスも含めた、悪意のあるプログラムの総称です。マルウェアに感染すると、システムが意図しない動作を起こしたり、不正な挙動に繋がります。

マルウェアは、コンピューターウイルス以外にもワームやトロイの木馬など多くの種類があり、システムやデータに深刻な影響を与える可能性が高いです。特にコンピューターウイルスは自己増殖するため、ネットワーク内で感染が広がって甚大な被害を引き起こすケースが少なくありません。

金銭目的でのサイバー攻撃を受けるおそれがある

近年では、ランサムウェアを用いてシステムを攻撃し、顧客情報や機密情報などを抜き取って金銭を要求するサイバー犯罪が頻発しています。ランサムウェアとは、感染したコンピューターのデータを不正に暗号化して利用できなくし、復元と引き換えに身代金を得るためのマルウェアです。

2024年には国内大手の出版・デジタルメディア複合企業が被害に遭い、2ヶ月近くもサービスを停止する事態となりました。社内システムを再構築すると同時に、各種アカウントのリセットや管理ポリシーの見直し、社外のセキュリティー専門企業のサポートを受けるなど、復旧にあたって様々な対応に迫られました。

サイバー攻撃は、企業の規模に関係なく起こり得ます。サイバー犯罪集団の標的にならないよう、脆弱性をなくしていくための継続的な対策が必要です。

脆弱性診断には、次の4種類があります。

• Webアプリケーション診断
• ネットワーク診断
• ネイティブアプリケーション診断
• クラウド診断

以下、それぞれ解説します。

Webアプリケーション診断

Webブラウザー上で動作する、Webアプリケーションやウェブサイトの脆弱性を診断します。近年、企業でWebアプリケーションの使用頻度が高くなってきたこともあって、サイバー攻撃の標的となる可能性が高いです。メールクライアントや通話・チャットツールなど、端末にインストールしなくても使えるのが便利な一方で、万全のセキュリティー対策が求められます。

Webアプリケーション診断では、プログラムの欠陥やアプリケーションの設定不備などをチェックし、ファイアウォールで防げない脅威への対策を行います。例えば、以下のような高度な攻撃手法のリスクを診断します。

• SQLインジェクション：ウェブサイトの入力欄を悪用し、データベースから不正に情報を抜き取る攻撃です。
• クロスサイトスクリプティング：掲示板などに悪意のあるスクリプトを書き込むことで、閲覧者の個人情報を盗む攻撃です。

Webアプリケーション診断を行うことで、このようなリスクを特定し、適切な対策を講じることができます。

ネットワーク診断

サーバーシステムの基盤となるOSやミドルウエア、CMS、ネットワークの脆弱性を診断します。対象となるネットワーク機器や端末に対し、データ改ざんや情報漏洩といったリスクがないか、疑似的な攻撃を行って確認します。

ネットワーク診断には、リモート診断とオンサイト診断の2種類があります。

• リモート診断：外部からインターネット経由でサーバーの脆弱性を診断します。
• オンサイト診断：ネットワーク内でのアクセス権限などの脆弱性を診断します。

ネットワーク診断によってミドルウエアの設定誤りやパスワードの脆弱性を見つけ、問題点を速やかに是正することが大切です。

ネイティブアプリケーション診断

スマートフォンやタブレットの専用アプリ（ネイティブアプリ）の脆弱性を診断します。モバイル端末の普及に伴い、これらのアプリから各種Webサービスへのアクセスが非常に多くなりました。その結果、専用アプリの脆弱性がサイバー攻撃の入口となるケースが増えています。

ネイティブアプリケーション診断では、実機またはエミュレーターを用いて、端末に保存される情報や送受信するデータの内容とその安全性、ソースコードの確認などを実施します。暗号化機能やアプリケーション間の連携機能に不備がないか、詳しい検証が必要です。さらに、アプリの内部構造を解析し、リバースエンジニアリング（完成したアプリを元のプログラムコードに近い形に戻す作業）による重要情報の露出リスクも診断します。

クラウド診断

クラウド診断では、Amazon Web Services（AWS）やMicrosoft Azure、Google Cloudといったクラウドサービスの脆弱性を診断します。それぞれAmazon、Microsoft、Googleが提供する世界規模のクラウドサービスで、今や多くの企業がビジネスに活用しています。

クラウドサービスはオンプレミスより導入コストが抑えられ、自社でサーバーを運用保守する手間もありません。とはいえ、セキュリティー対策までサービス提供企業に任せてしまうのは危険です。
クラウド診断を実施してクラウドにセキュリティー上の問題点がないかを確認し、管理できていないアカウントなどをチェックすることが重要です。これを怠ると、クラウドストレージ内の社外秘データや顧客情報への不正アクセスによる多大な損失リスクが生じます。

脆弱性診断は「ツール診断」と「手動診断」のいずれか、若しくは両方で実施します。ツール診断のほうがスピーディで低コストですが、手動診断ほど精度は高くありません。求められる効率性と精度に合わせて、適切な方法を選択することが重要です。以下、ツール診断と手動診断について詳しく解説します。

ツール診断

ツール診断は、費用を抑えつつ効率的に脆弱性をチェックできるのが特徴です。コーポレートサイトやキャンペーンサイト、Webアプリケーションなど、比較的簡易なシステムの診断に適しています。ただし、複雑なシステムの脆弱性診断には向かず、詳細な調査もできません。

診断ツールを選ぶ際は、診断対象の範囲や深度、機能性、使いやすさ、サポートの充実度などを確認することが重要です。複数のシステムを運用している場合には、同時に診断できる数が多いツールを選択すると効率的に診断が行えます。

手動診断

手動診断は専門のエンジニアが手動で診断する方法で、ツール診断よりも精度が高く、特にECサイトや個人情報を扱うWebアプリケーションなどに適しています。複雑なシステムにも対応可能ですが、ツール診断に比べて作業期間がかかり、コストも高額になることが難点です。

ここでは、当社が提供している「簡易Webアプリケーション診断」を例にして、脆弱性診断の流れを紹介します。主な流れは次のとおりです。

• Step1 事前確認
• Step2 契約
• Step3 診断実施
• Step4 報告書提示

脆弱性診断サービスを導入する際に、診断の流れを理解していれば戸惑いなくスムーズに実施できるでしょう。以下、各Stepを解説します。

Step1 事前確認

診断対象へ自動診断ツールによる巡回を行い、実施可否を確認します。

• インターネット経由でアクセス可能であること
• 多重ログインが可能であること
• ブラウザー(最新版Chrome)でアクセス可能であること
• ツールが対応可能なユーザー認証※を使用していること

など、自動ツール診断の実施には、複数の条件があります。条件や機能、導入コスト等を確認し、診断対象のWebアプリケーションに適した診断ツールを選択します。

• 当社の簡易Webアプリケーション診断では、Basic認証、Digest認証、フォーム認証に対応しています。

Step2 契約

お客様に巡回結果をご確認いただき、問題がなければ契約手続きを行います。当社の簡易Webアプリケーション診断の場合は、対象となるWebアプリケーションのFQDN※をご提示いただくだけで診断できるため、日程調整のお手間もありません。また、当社の自動診断ツールは、大規模なサイトのセキュリティー診断も短納期・低価格で実施可能です。

• FQDNとは、ホスト名とドメイン名を省略せずにつなげて記述した文字列のことです。

Step3 診断実施

自動診断ツールによるスキャンを実施します。AIがフォームの入力内容を判断しながら自動で巡回し、対象のWebアプリケーションにおける脆弱性の有無をチェックします。契約から最短3営業日で診断結果の報告が可能です。低価格でプログラムの欠陥やアプリケーションの設定誤りといった、Webアプリケーション固有の脆弱性を見つけることができます。なお、診断を行っている間に、Webアプリケーションを停止する必要はありません。

Step4 報告書提示

診断後は、自動診断ツールが作成した報告書をお客様に提示します。報告書では複数のセキュリティー項目について評価がなされており、一般的なリスク全体について確認できます。脆弱性が発見されたら対応を検討し、迅速かつ的確にセキュリティー対策を実施することを推奨します。

対象となるWebアプリケーションの検査範囲が広い場合や、繰り返し診断を行う必要がある場合は、自動診断ツールでセキュリティー診断を行うことがお勧めです。一方で、ツール診断だけでは不十分な場合、追加で手動診断を実施することも可能です。

条件や機能の面でツール診断が難しい場合には、当社のセキュリティー専門技術者による手動での診断（プロフェッショナル診断）もご用意しています。

また、当社では、Webアプリケーション診断に加えて、OSやミドルウエアの脆弱性を検査するネットワーク診断を提供しています。
さらに、ネットワーク診断の結果を元に、侵入の危険度を調査するペネトレーションテストも可能です。

脆弱性診断は、企業のセキュリティーリスクを下げるために必要な施策です。脆弱性は次々と新しいものが発見されていくため、定期的に診断を行う必要があります。また、手口が巧妙化・複雑化していることから、サイバー攻撃に関する専門的な知識も求められます。

実際のところ、万全な脆弱性診断を企業独自に実施するのは難しいため、セキュリティー対策の専門企業が提供している診断サービスを利用するのがおすすめです。

当社では、Webアプリケーションやネットワークなど、システムの脆弱性を調査するセキュリティー診断サービスを各種ご用意しています。脆弱性診断をご検討の際は、ぜひお問い合わせください。

• Webアプリケーションセキュリティー診断サービスの詳細はこちら
• ネットワークセキュリティー診断サービスの詳細はこちら